揭穿 WordPress 托管安全神话

已发表: 2022-06-30

WordPress 托管很复杂。 每个 WordPress 网站都依赖于由公司和社区创建的一堆软件和硬件,这些软件和硬件的标准和价值观很难从外部理解。 这会引起误解和误解,尤其是在涉及安全方面。
在本文中,我们将探讨一些最有害的 WordPress 托管神话,特别关注导致安全错误的神话。

小型网站不会被黑客入侵

媒体经常报道攻击者的目标似乎很明显的重大安全漏洞。 受害者存储了千兆字节的个人数据,可用于身份盗窃。 许多商店的信用卡号码由于显而易见的原因被盗。 一些攻击者从事工业间谍活动。
这些都不适用于拥有少数用户帐户的小型网站:那里没有太多有用的个人数据。 他们很少存储信用卡号码,明智地选择使用支付处理器。 那么,为什么犯罪分子会花精力破解一个小网站呢?
首先,这不是很大的努力。 大多数黑客攻击都是自动化的:机器人在网络上搜寻易受攻击的站点,并通过预编程攻击来破坏它们。 攻击者放开他的机器人并等待 IP 地址滚进来。
其次,即使是一个小网站也很有价值。 它有可能感染恶意软件的受众。 它可以被拖入攻击者的僵尸网络并用于破坏其他站点或参与 DDoS 攻击。 它可用于 SEO 垃圾邮件。 每个网站都代表一个带宽、存储和处理能力的包——所有这些都对犯罪分子有用。

如果有效,为什么要升级?

当技术完成它应该做的事情时,那些不花一生时间盯着屏幕上的代码的人会非常满意。 他们可能会觉得带来变化的更新是一种不受欢迎的破坏。 WordPress 并不难学,但它的难度足以让数百万用户担心改变的想法。
每天使用 WordPress 的人已经习惯了。 他们宁愿为了改变而避免改变,所以他们往往不愿意更新。 毕竟,为什么要改变有效的方法。
开发人员对此的回答是双重的。 软件永远不会停滞不前,必须改变以跟上世界的变化。 而且,更重要的是,更新修复了导致安全漏洞的错误。 几个月未更新的网站几乎肯定是易受攻击的。 在上一节中,我们讨论了僵尸网络和自动黑客攻击。 这些机器人寻求的是未打补丁的内容管理系统。 最终,他们会找到一个未打补丁的网站,然后它就会被黑客入侵。

我会知道是否有问题

被黑的网站是什么样的? 在大多数情况下,它看起来像是一个没有被黑客入侵的网站——尤其是对其所有者而言。 正如我们所讨论的,不良行为者破坏网站是因为他们想要其数据、资源、访问者或 SEO 潜力。 如果网站所有者发现他们已被黑客入侵,则不良行为者将失去对这些资源的访问权限。 所以,他们很狡猾。 他们试图隐藏。
如果您仔细观察,您可能会注意到带宽或内存使用量的峰值。 如果您定期扫描恶意软件,您可能会发现它们的恶意代码。 但是,如果您正常使用该网站,则不太可能发现任何问题。
以 SEO 垃圾邮件为例。 当一个站点被入侵时,攻击者想要推广的站点的链接会被注入到它的内容中。 这些链接对 Google 可见,普通访问者也可能可见,但对登录网站的人是隐藏的。
这就是为什么使用SucuriWordfence等工具定期扫描您的网站是个好主意 他们发现恶意代码并让您知道。 如果您不扫描,那么当 Google 开始警告您的受众您的网站不安全时,您很可能会发现攻击。

SSL 确保您的网站安全

SSL 证书有两个作用。 它们加密通过网络从服务器传输到浏览器并再次返回的数据。 浏览器使用它们来验证它们是否连接到它们期望的主机。 这就是 SSL 证书所做的一切。 它们是必不可少的安全和隐私工具,但它们不保护存储在站点服务器上的数据。 它们也不能保护网站免受试图利用漏洞的攻击者的攻击。

每个 WordPress 插件都是免费的

这是一个有害的神话,导致人们下载受恶意软件感染的插件。 大多数 WordPress 插件都是在 GPL 许可下开源的。 当开发者分发插件时,他们也分发源代码。 许可证要求他们这样做。
通常,开源软件是免费的。 使用它不需要任何费用。 WordPress 本身是开源和免费的。 但有些开源软件并不是免费使用的 高级 WordPress 插件属于此类:它们是开源的,但开发人员希望用户支付许可费才能使用该插件。
当用户支付费用时,他们会根据需要获得源代码。 但开源并不意味着开发人员必须向每个人提供源代码——只是分发插件的人,付费的人。 这通常被误解。 付费后获取高级主题的代码并免费赠送是完全合法的,但出于显而易见的原因,在 WordPress 社区中不鼓励这样做。
您可能想知道这与安全性有什么关系。 不良行为者知道人们想使用高级插件而不付费。 因此,他们使用插件,添加少量恶意软件,然后免费赠送。 这些“无效”或“盗版”插件包含后门和其他恶意代码。 当毫无戒心的 WordPress 用户安装无效插件时,他们会将其网站的控制权交给攻击者。 在您的网站上安装盗版插件是个坏主意。
我们在这篇文章中介绍了五个常见的 WordPress 托管神话,我们可能还包括更多。 如果您想看到深入探讨更多 WordPress 托管神话的后续帖子,请在评论中告诉我们。